6 razões pelas quais seu site WordPress pode ser vulnerável a hackers

Publicados: 2019-04-26

Com os recursos brilhantes e opções de personalização que o WordPress oferece, não é surpresa que quase 33% dos sites usem o WordPress CMS. No entanto, possíveis problemas de segurança são algo que pode voltar a incomodar os proprietários de sites.

De fato, dos 8.000 sites invadidos analisados ​​em um estudo recente, 74% estavam usando o WordPress.

Se você estiver usando um site WordPress, é importante garantir que sua segurança esteja configurada corretamente para minimizar os riscos.

Então, qual é o melhor curso de ação a tomar?

Os seguintes problemas de segurança são alguns dos mais vitais e podem deixar seu site WordPress vulnerável a hackers. É importante identificar esses problemas e corrigi-los; imediatamente.

1. Serviço de hospedagem não seguro

Um dos principais recursos para fazer um site é a hospedagem na web.

Desde o desempenho do seu site até a segurança, seu serviço de hospedagem pode afetar tudo. Como tal, é crucial que você escolha um provedor de hospedagem que ofereça segurança adequada.

Ao considerar e analisar suas opções de hospedagem, as dicas a seguir devem ajudá-lo.

    • Passe por todos os recursos de segurança que ele fornece.
    • Entenda que quando se trata de hospedagem, caro nem sempre significa melhor.
    • Alguns provedores têm seus planos básicos que custam tanto quanto os planos avançados de outros provedores de hospedagem. Isso nem sempre significa que eles podem ser comparados.
    • Conheça a diferença entre os dois tipos mais populares de serviços de hospedagem.

       Hospedagem Compartilhada:
       Um serviço de hospedagem compartilhada oferece verificações básicas de segurança que podem detectar malware do WordPress.
       Ele também permite que você rastreie os visitantes que chegam ao seu site. Isso pode ajudá-lo a identificar visitantes prejudiciais e bloquear seus endereços IP.
       O principal destaque de um serviço de hospedagem compartilhada é sua capacidade de hospedar mais de um site, o que também o torna muito mais barato que outros tipos de hospedagem.

       Hospedagem gerenciada:
       Este é o serviço de hospedagem que fornece um firewall para segurança junto com uma verificação de malware de rotina.
       Alguns provedores oferecem 'Serviços de hospedagem gerenciada' que restringem o acesso a arquivos e pastas do WordPress para mantê-los seguros.
       Por exemplo, o WP-Engine impede alterações em todos os arquivos PHP, enquanto o Pantheon não permite escrever em pastas, exceto naquela que contém dados de tema e plugin.
  • Teste o suporte ao cliente:
     O suporte ao cliente é outro fator que você precisa considerar ao comparar os provedores de hospedagem.

     Seja um problema trivial ou um colapso completo; se for sobre o serviço de hospedagem, o provedor deve oferecer suporte completo ao cliente.

     Para descobrir a qualificação do sistema de suporte de um provedor, basta obter seus detalhes de contato e entrar em contato com eles. Faça todas as suas perguntas e veja como eles são pacientes e cooperativos ao abordar suas preocupações.

     Com base nessa experiência, você terá uma ideia de como eles reagirão em caso de violação de segurança. Isso deve ajudá-lo a decidir se deseja comprar deles ou não.

Se você já comprou um plano de hospedagem do provedor errado, não se preocupe. Você não precisa esperar seu plano expirar. Serviços como BlogVault e Migrate Guru podem ajudá-lo a migrar para diferentes provedores de hospedagem sem problemas.

2. Atualizações do sistema

Como qualquer outro CMS, o WordPress requer atualização regular. Ignorar isso pode tornar seu site WordPress um risco potencial de segurança.

Na verdade, 80% dos sites do WordPress que foram invadidos estavam executando temas e/ou plugins desatualizados. De abrir os olhos, certo?

Ser um CMS de código aberto com milhares de desenvolvedores trabalhando em diferentes temas e plugins significa que seu painel do WordPress pode receber muitas atualizações com base nos plugins e temas que você está usando.

Você precisa ter certeza de que todos os temas e plugins principais estão atualizados para a versão mais recente.

 Etapas para atualizar um plug-in:

  • Abra seu painel do WordPress e vá para Plugins > Plugins Instalados
  • O painel irá levá-lo para a página que exibe os plugins que você instalou.

     Identifique os plugins que estão pendentes e atualize e clique em 'atualizar agora'.

Da mesma forma, você pode atualizar temas em seu site da mesma maneira, indo para Aparência > Temas.

Isso também desbloqueará os recursos mais recentes adicionados ao tema/plugin/sistema. Isso ajuda a manter a segurança e a estabilidade do seu site ao mesmo tempo.

3. Temas ou plugins piratas

Embora a configuração de um site WordPress não faça um buraco no seu bolso, torná-lo esteticamente agradável e rico em recursos pode, como um bom tema/plugin do WordPress, pode custar entre US $ 10 e US $ 200.

Para escapar desses custos 'supostamente' indesejados, os webmasters geralmente seguem o caminho mais barato e usam plugins/temas nulos/pirateados, que estão disponíveis gratuitamente ou a preços insignificantes.

Quais são os resultados disso?

Houve vários casos em que um site usando um tema nulo concedeu involuntariamente acesso de backdoor aos hackers por meio do URL: http://www.example.xyz?backdoor=go

 Os hackers conseguiram acessar o site porque a URL acionou um backdoor para o site, criando uma nova conta de administrador do WordPress com as seguintes credenciais:

 Nome de usuário: backdooradmin
 Senha: Pa55W0rd

Isso geralmente é resultado de um shortcode adicional que foi adicionado ao arquivo functions.php pelo proprietário do tema.

Para salvar seu site de tais riscos. Sempre adquira temas e plugins do repositório oficial do WordPress ou de outras fontes confiáveis, como Theme Forest ou Themeisle.

4. Detalhes de login fictícios

Página de login padrão:
 Usar os mesmos nomes de usuário antigos e senhas fáceis de adivinhar torna a vida muito mais fácil para os hackers que tentam entrar no back-end do seu site.

Como consertar?

  • Problema com nome de usuário e senha:
     Tente criar um nome de usuário e senha que você não tenha usado em outra conta.

     Observe que é crucial ter um nome de usuário exclusivo. Se o nome de usuário for fácil de adivinhar, a única coisa que um hacker precisará descobrir é sua senha.

     Certifique-se de nunca exibir seu nome de usuário em seu site. Fazer isso seria como dar aos hackers um convite pessoal para se deliciar no seu painel do WordPress. Em vez disso, use um apelido ou um título diferente do nome de usuário. Problema de URL da página de login padrão: www.yoursite.com/wp-admin

     Esta é a escolha mais fácil e comum de um URL de página de login do WordPress, que deixa seu site vulnerável a hackers.

     A maioria dos hackers não ataca manualmente. Eles programam bots para acessar páginas de login e quebrar as credenciais de login dos sites de destino.

     Usar o URL da página de login padrão reduzirá o trabalho de bots e hackers que tentam entrar em seu site.

     A melhor saída é alterar a URL de login padrão.

     Por exemplo, alterando – www.yoursite.com/wp-admin para www.yoursite.com/welcometomysite

     Para fazer isso, siga estas etapas simples.

     – Primeiro, faça um backup completo do seu site WordPress usando o UpdraftPlus.

    – Em seguida, instale e ative o plugin 'Easy Hide Login' (é grátis).
    – Vá para as configurações do plugin e envie sua escolha de slug de login (como “welcometomysite”).

     – Isso mudará seu endereço de login do WordPress de yoursite.com/wp-admi n para yoursite.com/welcometomysite e tornará muito mais difícil para as pessoas invadirem seu site.


 5. Arquivos PHP graváveis

Assim como qualquer outro programa de computador dentro ou fora da web, um site WordPress também consiste em arquivos e pastas.

Uma dessas pastas é a pasta 'Uploads'. Esta pasta armazena todos os dados de temas e plugins para o seu site.

Hackers em potencial podem encontrar uma maneira de fazer upload de um código PHP para esta pasta para obter acesso ao seu site.

Depois que os hackers tiverem acesso por meio desse método, eles poderão roubar o conteúdo que você planeja publicar no futuro, juntamente com outros recursos importantes, como endereços de e-mail de sua lista de e-mails. Eles também podem vender backlinks do seu site ou usar seu conteúdo para criar links para seus sites sem o seu conhecimento. Ou o pior de tudo, eles podem destruir todo o site e derrubá-lo.

A pior parte desse tipo de hack é que você não saberia sobre nada disso até que seu provedor de hospedagem ou um mecanismo de pesquisa banissem seu site.

Para se salvar disso, você pode desabilitar a execução do PHP através das etapas a seguir.

  • Crie um arquivo .htaccess na pasta 'Uploads' no diretório raiz do seu site no cPanel.

  • Crie um novo arquivo com o Bloco de Notas (no Windows) ou TextEdit (no Mac).
  • Cole o seguinte código neste arquivo e salve-o como .htaccess (não como .htaccess.txt).

     # COMECE WordPress

     Rewrite Engine On
     RewriteBase /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME}!-d
     Regra de Reescrita. /index.php [L]
     # FIM WordPress
  • Carregue este arquivo para a pasta 'Uploads'.
  • Agora, você tem um novo arquivo .htaccess especificamente para sua pasta 'Uploads'. Clique com o botão direito do mouse para editá-lo e cole o código a seguir.


     Ordem Permitir, Negar
     Negar de todos

Após a implementação das etapas acima, seu site impedirá a execução de qualquer arquivo externo composto por 'PHP'. Essa alteração adicionará outro bloco ao muro de segurança do seu site.

Além disso, observe que usar esse método é um pouco arriscado. Mesmo um erro trivial pode danificar seu site. Portanto, se você não tiver certeza sobre o uso do cPanel, consulte alguém que esteja.

6. Falta de um certificado SSL

Embora http://seusite.com e https://seusite.com carreguem a mesma página da Web, há uma pequena diferença que pode quebrar o negócio.

O certificado SSL.

O primeiro URL no exemplo acima não está usando um certificado SSL, enquanto o segundo exemplo está.

 Isso pode afetar muito a segurança de um site, colocando em risco a comunicação entre o dispositivo do visitante e seus servidores da web.

Um certificado SSL criptografa as informações para que elas não possam ser acessadas por ninguém além dos destinatários pretendidos. Para proteger seu site contra esses vazamentos, é recomendável instalar um certificado SSL o quanto antes.

 A instalação de um certificado SSL geralmente é simples e fácil de fazer. Normalmente, você pode comprar um certificado SSL de seu provedor de hospedagem, mas se eles não venderem um serviço SSL, considere comprar de outro provedor.

Obter um certificado SSL do seu provedor de hospedagem também economizará o incômodo da instalação. Eles vão configurar tudo e você só precisa redirecionar suas páginas 'http' para 'https'.

Em suma

Deixar de proteger seu site WordPress contra ameaças de segurança pode prejudicar seus negócios de várias maneiras. Não é surpresa que todos os webmasters precisem prestar atenção à segurança do site e ter um plug-in e um sistema de backup adequados. Apesar de seus melhores esforços, caso o pior aconteça e seu site sofra um ataque malicioso; O UpdraftPlus pode fornecer uma opção de backup e restauração segura e protegida. Isso ajudará a garantir que seu site sempre tenha essa importante rede de segurança, mesmo no caso de um hack.

Neste post, você leu sobre 6 brechas que poderiam colocar em risco a segurança do seu site WordPress devido a hackers. Espero que este artigo tenha ajudado você a proteger seu site e levar a segurança para o próximo nível.

Por Vaibhav Kakkar

O post 6 razões pelas quais seu site WordPress pode ser vulnerável a hackers apareceu primeiro no UpdraftPlus. UpdraftPlus – Plugin de backup, restauração e migração para WordPress.